La maggior parte delle persone considera il malware come file eseguibili dannosi scaricati da un'e-mail o dal web, ma il malware fileless aggiunge un nuovo tocco alla data protection. Invece di utilizzare i file che vengono caricati ogni volta che un utente avvia il sistema, il malware fileless viene caricato dal registro di Windows e avviato direttamente nella memoria o viene caricato utilizzando codice dannoso memorizzato in un documento. Il malware fileless è stato creato per bypassare il software antivirus, quindi sono necessari ulteriori livelli di sicurezza per bloccarlo.
Che cos'è il malware senza file?
Il malware fileless è un tipo di software dannoso che opera interamente all'interno della memoria di un computer, il che significa che non crea alcun file sul disco rigido. Con il malware tradizionale, l'autore del malware compila un file eseguibile e deve trovare un modo per consegnarlo a una destinazione. Ad esempio, l'autore del malware potrebbe creare un messaggio e-mail per convincere un dipendente del data center ad aprire uno script che quindi scaricherà l'eseguibile. L'eseguibile carica il codice dannoso nella memoria. Ogni volta che l'utente si riavvia, il file eseguibile viene ricaricato in memoria.
Il malware fileless è molto più leggero del malware basato su file. Con il malware fileless, il codice viene caricato nel registro di Windows o il codice dannoso viene caricato nella memoria senza che sia necessario alcun file eseguibile. Ad esempio, uno script PowerShell può essere caricato nella memoria del server e utilizzato per inviare i dati a un server controllato dagli hacker su Internet.
Come funziona il malware senza file
La maggior parte degli attacchi inizia con un'e-mail di phishing dannosa, ma gli autori degli attacchi possono anche utilizzare i download drive-by ospitati sui loro server web. Un altro modo comune per iniziare un attacco è attraverso l'ingegneria sociale. Un utente malintenzionato potrebbe contattare un bersaglio tramite un messaggio di testo e convincerlo ad aprire una pagina web con script dannosi. Il phishing causato da reindirizzamenti dannosi sul web o da attacchi man-in-the-middle su un hotspot Wi-Fi malefico è più raro ma possibile negli attacchi malware.
Il malware fileless di solito colpisce i computer Windows, quindi PowerShell è il linguaggio di scripting più comune utilizzato in questi attacchi. Un utente viene per prima cosa convinto a eseguire lo script PowerShell, solitamente allegato a un messaggio e-mail, e lo script PowerShell esegue le istruzioni. Le istruzioni possono essere l'installazione di ransomware, il furto di dati dal computer dell'utente, l'ascolto silenzioso delle password o l'installazione di rootkit per il controllo remoto del computer locale. PowerShell è in grado di eseguire le applicazioni correnti installate sul computer dell'utente, in modo che il malware fileless possa tentare di creare un documento con codice dannoso o di inserirlo in un documento esistente. Quando l'utente condivide il documento con un altro utente, il codice dannoso esegue e consegna il proprio payload.
Vettori di attacco comuni
Il vettore di attacco più comune per la maggior parte dei payload è il phishing ed è anche il più comune per gli attacchi fileless. Per distribuire un payload tramite e-mail, l'autore dell'attacco deve convincere l'utente ad aprire un allegato dannoso o indirizzarlo a un sito web che ospita il malware. Le aziende di livello enterprise devono sempre configurare la sicurezza delle e-mail per impedire che questi messaggi raggiungano le caselle di posta in arrivo dei dipendenti.
I documenti Microsoft Office possono memorizzare macro e codice per attivare l'attività all'apertura del documento. Le operazioni potrebbero essere innocue, ma il codice dannoso memorizzato in un documento di Office (ad esempio Word, Excel o PowerPoint) potrebbe eseguire una serie di payload. I payload includono il furto di dati, l'installazione di rootkit o la trasmissione di ransomware al computer locale o all'ambiente di rete.
La social engineering potrebbe essere un componente di un attacco. Ad esempio, un attacco di phishing più sofisticato in genere ha diversi autori di attacchi che lavorano per ingannare dipendenti con privilegi elevati come contabili o personale delle risorse umane. Questi obiettivi hanno accesso a dati sensibili, in modo che gli autori delle minacce possano ottenere un ritorno maggiore sui loro sforzi. Un autore di minacce potrebbe collaborare con un ingegnere sociale e chiamare un bersaglio per convincerlo a utilizzare un'e-mail di phishing.
L'impatto del malware fileless
Gli attacchi fileless di solito comportano la perdita di dati o backdoor a lungo termine in cui il malware può persistere anche dopo l'eliminazione. Per la maggior parte dei criminali informatici organizzati, lavorano insieme per rubare i dati. Ransomware è un payload comune e può costringere le organizzazioni a pagare milioni di dollari per recuperare i dati se non dispongono di backup dei dati fattibili.
Le minacce persistenti spesso vengono eseguite per mesi prima del rilevamento. Queste minacce possono essere utilizzate per esfiltrare i dati in modo silenzioso. Mentre le minacce persistenti vengono eseguite, in genere creano backdoor in modo che il personale di sicurezza non possa rimuoverle o contenerle completamente. Dopo il rilevamento e l'eliminazione, gli amministratori di rete potrebbero avere un falso senso di sicurezza, mentre le backdoor della minaccia persistente consentono agli autori degli attacchi di violare nuovamente l'ambiente.
La maggior parte delle violazioni dei dati comporta una perdita di fatturato dovuta a controversie e sanzioni per la conformità. I danni al marchio devono essere contenuti e una perdita di fiducia dei clienti potrebbe anche ridurre le vendite. Il malware fileless è progettato per bypassare il rilevamento, quindi può essere particolarmente pericoloso per la business continuity e le entrate future.
Strategie di rilevamento e prevenzione
Per evitare le conseguenze di un attacco malware fileless, il rilevamento precoce è cruciale. Il rilevamento precoce evita molti dei requisiti di disaster recovery da ripulire dopo una violazione dei dati. Gli strumenti di monitoraggio installati sull'infrastruttura di rete e sugli endpoint (ad esempio, i dispositivi mobili degli utenti) possono rilevare il malware fileless prima che venga caricato in memoria. Le soluzioni di monitoraggio della rete rilevano qualsiasi comportamento anomalo quando il codice dannoso tenta di accedere a file e dati sensibili.
La prevenzione delle intrusioni conterrà automaticamente una minaccia. Il monitoraggio rileva malware e avvisa gli amministratori, ma la prevenzione delle intrusioni porta la sicurezza informatica a un ulteriore passo avanti e impedisce automaticamente il furto dei dati. Gli amministratori di rete devono comunque agire, ma i danni sono mitigati dalla prevenzione e dal contenimento delle intrusioni.
Il monitoraggio e la prevenzione attuali utilizzano analytics e modelli di comportamento per rilevare le attività dannose. Ad esempio, un file con dati sensibili potrebbe ricevere solo una manciata di richieste di accesso nel corso dell'anno. Quando il malware tenta di accedere ai file più volte in un breve periodo di tempo, le soluzioni di rilevamento lo considerano come un'attività sospetta e un avviso agli amministratori. Le minacce zero-day possono essere rilevate anche utilizzando benchmark e scoperte anomali.
Conclusione
Il malware fileless è solo uno dei tanti rischi per la sicurezza informatica che gli amministratori devono affrontare. Puoi ridurre al minimo e contenere i rischi con gli strumenti di monitoraggio appropriati, il rilevamento delle intrusioni e le soluzioni di prevenzione. Installa la protezione EDR (Endpoint Detection and Response) su tutti i dispositivi utente, specialmente quelli che si connettono a hotspot Wi-Fi di terze parti. Infine, collabora con un partner tecnologico di fiducia che offre soluzioni che proteggono i tuoi dati e danno priorità alla data protection.
